Brazil LGPD and Guest WiFi: A Compliance Guide

LGPD do Brasil e Guest WiFi: Um Guia de Conformidade. Um Briefing de Inteligência da Purple. Bem-vindo ao Briefing de Inteligência da Purple. Sou o vosso anfitrião e hoje vamos abordar algo que todos os gestores de TI, arquitetos de rede e responsáveis de conformidade que operam no Brasil precisam de dominar: a Lei Geral de Proteção de Dados — a LGPD — e, especificamente, o que esta significa para as suas implementações de guest WiFi. Se já está em conformidade com o GDPR em todas as suas operações europeias, poderá assumir que o Brasil é uma extensão direta desse trabalho. E teria parte da razão — mas apenas em parte. A LGPD tem algumas diferenças significativas que irão surpreender as multinacionais que se limitam a copiar e colar a sua postura de conformidade da UE. E com a ANPD — a autoridade de proteção de dados do Brasil — a amadurecer continuamente a sua capacidade de fiscalização, a janela para uma abordagem informal está a fechar-se rapidamente. Por isso, vamos a isto. Vamos cobrir o enquadramento legal, as bases legais que realmente se aplicam aos registos de WiFi, como a ANPD se compara a reguladores como o ICO e a CNIL, e como deve ser o aspeto do seu Captive Portal para o manter do lado correto da lei. Comecemos pelos fundamentos. A LGPD — Lei Número 13.709 — entrou em vigor em agosto de 2020, com as sanções administrativas a entrarem em vigor a partir de agosto de 2021. Foi modelada de perto com base no GDPR, o que significa que, se compreende um, tem uma base sólida para o outro. Mas o diabo está nos detalhes. No momento em que um convidado se liga à sua rede WiFi, está a recolher dados pessoais. Endereços MAC, endereços IP, carimbos de data/hora de ligação, duração da sessão — tudo isto se enquadra perfeitamente na definição de dados pessoais da LGPD. Adicione um formulário de registo no Captive Portal que recolha nomes, endereços de e-mail ou números de telefone, e entrou firmemente no território que exige uma base legal clara para o processamento. A LGPD prevê dez bases legais ao abrigo do Artigo 7.º. Para o guest WiFi, três são particularmente relevantes. Primeiro, o consentimento — Artigo 7.º, inciso I. Esta é a base mais simples: o convidado aceita ativamente o seu aviso de privacidade e assinala uma caixa de consentimento antes de se ligar. O consentimento deve ser livre, informado, inequívoco e específico para a finalidade. Não pode agrupar o consentimento de marketing com o consentimento básico de conectividade — estas têm de ser caixas de seleção separadas. Segundo, a execução de contrato — Artigo 7.º, inciso V. Isto aplica-se quando a conectividade WiFi faz parte de um serviço contratado. Um hóspede de hotel que reservou um quarto que inclui acesso WiFi pode ter os seus dados de ligação processados ao abrigo desta base, porque é necessário para fornecer o serviço que contratou. Esta é uma base mais limpa para os operadores de hotelaria do que o consentimento, porque não exige uma seleção ativa — é inerente à relação de serviço. Terceiro, interesses legítimos — Artigo 7, algarismo romano nove. Esta é a base mais flexível, mas também a mais exposta legalmente. É necessário realizar e documentar uma avaliação de interesses legítimos — um teste de ponderação — demonstrando que os seus interesses não se sobrepõem aos direitos fundamentais do titular dos dados. Para o registo básico de segurança da rede, isto é geralmente defensável. Para análise comportamental ou criação de perfis de marketing, torna-se muito mais difícil de justificar. Agora, há algo que apanha muitos operadores de surpresa: o Marco Civil da Internet. Este é o enquadramento dos direitos civis da internet no Brasil — Lei 12.965 de 2014 — e coexiste com a LGPD em vez de ser substituído por ela. Ao abrigo do Artigo 13 do Marco Civil, os fornecedores de ligação à internet devem reter os registos de ligação por um período mínimo de um ano. Se o seu espaço disponibiliza acesso à internet ao público, poderá enquadrar-se nessa definição. Isso significa que a sua política de retenção de dados não pode simplesmente dizer que elimina tudo após 30 dias — tem a obrigação legal de reter os registos de ligação por doze meses, independentemente do que o seu aviso de privacidade da LGPD diga sobre a minimização de dados. Falemos sobre a ANPD — a Autoridade Nacional de Proteção de Dados. Foi estabelecida pela própria LGPD e opera como uma autoridade federal especial vinculada ao Ministério da Justiça. O seu mandato abrange a supervisão, orientação e aplicação da lei. Como se compara com o ICO no Reino Unido ou a CNIL em França? A resposta honesta é que a ANPD ainda está a amadurecer. O ICO emitiu multas na ordem das dezenas de milhões — a British Airways recebeu uma penalização de vinte milhões de libras, a Marriott de dezoito vírgula quatro milhões. A CNIL multou a Google em cento e cinquenta milhões de euros e o Facebook em sessenta milhões. A primeira multa da ANPD, emitida em julho de 2023, foi de um total de catorze mil e quatrocentos reais brasileiros — cerca de três mil dólares americanos — contra uma pequena empresa de telemarketing. Em 2024, as suas ações de fiscalização foram todas contra entidades do setor público e resultaram em avisos em vez de penalizações financeiras. Mas não se deixe embalar pela complacência. A trajetória de fiscalização da ANPD é claramente ascendente. Em julho de 2024, emitiu uma medida preventiva contra a Meta, ordenando a suspensão imediata da política de dados de treino de IA da Meta. Em dezembro de 2024, tomou medidas contra a X Corp devido a dados de crianças. A agenda regulatória da ANPD para 2025 e 2026 prioriza explicitamente a IA e o reconhecimento facial — o que é diretamente relevante para qualquer espaço que implemente autenticação biométrica para acesso WiFi. A penalização máxima ao abrigo da LGPD é de dois por cento da faturação anual brasileira de uma empresa, limitada a cinquenta milhões de reais por infração — aproximadamente nove milhões de euros às taxas de câmbio atuais. Isto é significativamente inferior aos quatro por cento da faturação global do GDPR, mas é calculado apenas sobre a faturação brasileira. Para uma multinacional com operações substanciais no Brasil, a exposição continua a ser material. Uma diferença crítica em relação ao GDPR: a LGPD exige um Encarregado de Proteção de Dados (DPO) para todos os controladores de dados, sem exceção. Ao abrigo do GDPR, um DPO só é obrigatório em circunstâncias específicas. Sob a LGPD, se estiver a processar dados pessoais no Brasil, precisa de um. A Resolução 18 da ANPD, publicada em julho de 2024, define detalhadamente as responsabilidades e qualificações exigidas. Os dados de contacto do DPO devem ser divulgados publicamente — normalmente no seu website. Os direitos dos titulares de dados sob a LGPD são nove, em comparação com os oito do GDPR. As diferenças práticas para os operadores de WiFi são duas. Primeiro, tem quinze dias para responder a um pedido de acesso do titular dos dados — metade do prazo de trinta dias do GDPR. Se gere uma rede num espaço de grande dimensão com milhares de ligações diárias, os seus processos de recuperação de dados e resposta precisam de ser operacionalmente capazes de cumprir esse prazo mais apertado. Segundo, a LGPD inclui um direito explícito de solicitar a anonimização dos dados, e não apenas a eliminação. A sua plataforma precisa de suportar ambas as respostas. Então, como é que se parece realmente uma implementação em conformidade? Deixe-me guiar-lhe pelos principais requisitos de implementação. O seu Captive Portal deve exibir um aviso de privacidade em português — português do Brasil, não português europeu. O aviso deve identificar o controlador de dados, indicar a base legal para o processamento, especificar as finalidades para as quais os dados serão utilizados, identificar quaisquer terceiros com quem os dados serão partilhados e fornecer os dados de contacto do DPO. Isto é inegociável. As caixas de seleção de consentimento devem estar desmarcadas por predefinição. Caixas pré-marcadas não constituem consentimento válido sob a LGPD, tal como não constituem sob o GDPR. O consentimento para marketing deve ser separado do consentimento para conectividade — não pode condicionar o acesso à internet ao facto de o convidado aceitar receber emails promocionais. Sobre a minimização de dados: recolha apenas o que realmente precisa. Se está a disponibilizar WiFi para convidados puramente para conectividade, não precisa de uma data de nascimento ou de uma morada residencial. Se está a gerir um programa de fidelização através da sua plataforma de WiFi, precisa de justificar cada campo de dados adicional face à finalidade declarada. Para a retenção de dados, documente a sua política explicitamente. Registos de ligação: um ano no mínimo sob o Marco Civil. Dados de marketing: reter apenas durante o tempo necessário para a finalidade declarada e eliminar após a retirada do consentimento. A sua plataforma de analítica de WiFi deve suportar agendamentos de retenção automatizados e fluxos de trabalho de eliminação. O maior erro que vejo na prática é o problema do consentimento agrupado. Os operadores criam um único ecrã de consentimento que abrange conectividade, analítica e marketing numa única caixa de seleção. Isso não está em conformidade tanto sob a LGPD como sob o GDPR. Separe os consentimentos. Sim, adiciona fricção. Mas a alternativa é uma ação de fiscalização que lhe custará muito mais. O segundo grande erro é ignorar o Marco Civil. Os operadores que se concentram inteiramente na conformidade com a LGPD e se esquecem da obrigação de retenção de registos de ligação por um ano, ao abrigo do Marco Civil, criam um tipo diferente de exposição legal. Trata-se de dois instrumentos jurídicos distintos e ambos se aplicam. Terceiro erro: não implementar um fluxo de trabalho para os direitos dos titulares dos dados. Não basta ter um aviso de privacidade que diga "contacte-nos para exercer os seus direitos". É necessário um processo operacional — um endereço de e-mail dedicado ou formulário web, um fluxo de trabalho interno documentado e a capacidade técnica para recuperar, corrigir, exportar ou eliminar os dados de um indivíduo específico no prazo de quinze dias. Permita-me passar por algumas perguntas rápidas que oiço regularmente dos clientes. Precisamos de um DPO se tivermos apenas um local no Brasil? Sim. A LGPD aplica-se a todos os controladores de dados que tratem dados pessoais no Brasil, independentemente da escala. Podemos utilizar os interesses legítimos como base para a análise de WiFi? Potencialmente, mas precisa de uma avaliação de interesses legítimos documentada. Para segurança de rede básica e análises operacionais, é defensável. Para a criação de perfis de marketing comportamental, é muito mais difícil de justificar. E quanto à autenticação biométrica — reconhecimento facial no Captive Portal de WiFi? Trata-se de dados sensíveis ao abrigo da LGPD. Precisa de consentimento explícito e deve ter muito cuidado com a forma como os armazena e processa. A ANPD tem isto diretamente na sua mira para aplicação da lei entre 2025 e 2026. Estamos em conformidade com o GDPR — isso cobre-nos para a LGPD? Em grande parte sim, mas não totalmente. O prazo de resposta mais curto para os pedidos de acesso dos titulares dos dados, a exigência obrigatória de um DPO, a obrigação de retenção do Marco Civil e a exigência de aviso em língua portuguesa são áreas em que a conformidade com o GDPR por si só não será suficiente. Para concluir: a LGPD é um regime de proteção de dados maduro, inspirado no GDPR, com algumas características importantes específicas do Brasil. Para os operadores de WiFi de convidados, as principais ações são estas. Audite o seu Captive Portal: o seu aviso de privacidade está em português do Brasil, indica a base legal, as suas caixas de seleção de consentimento estão separadas e desmarcadas por predefinição? Nomeie um DPO e publique os seus dados de contacto. Isto é obrigatório para todos os controladores. Verifique a sua política de retenção de dados face ao requisito de um ano de registo de ligação do Marco Civil. Crie um fluxo de trabalho para os direitos dos titulares dos dados capaz de responder no prazo de quinze dias. E se estiver a implementar qualquer forma de autenticação biométrica ou análise avançada, realize uma Avaliação de Impacto sobre a Proteção de Dados antes de entrar em funcionamento. A plataforma de WiFi de convidados da Purple foi concebida tendo em conta estes requisitos de conformidade — fluxos de consentimento configuráveis, calendários de retenção automatizados e ferramentas de direitos dos titulares dos dados que funcionam tanto nas jurisdições do GDPR como da LGPD. Se está a implementar em todo o Brasil e deseja discutir a sua arquitetura de conformidade específica, entre em contacto com a equipa da Purple. Por hoje é tudo no nosso briefing. Obrigado por ouvir e até à próxima.